黑客们正将目光投向因特网的组成部分之一:域名系统(DNS)。他们希望这样能使得难对Web站点真实性进行验证。Jonathan Yarden对此给出了一些建议,以减小企业在使用DNS过程中所面临的风险。
在本月早期,有消息表明网页仿冒电子邮件(phishing e-mails)的数量增长在今年头两个月中有所减缓。攻击者们借住这一攻击手段采用貌似合法的邮件收集个人和金融信息。但请不要高兴得太早:攻击手段只会变得越来越聪明,而不是越来越少。实际上,攻击者们正在加紧修炼,转向采用更为成熟的攻击技术。
潜在的攻击者们正在将目光投向域名系统(DNS)。这一系统是因特网的一个部分,攻击者们希望通过对其进行操纵以使得正常用户难于确定网站合法性。通常这些手段被称为“域欺骗(pharming)”或是“DNS中毒”,包括将用户重定向到那些看起来合法的恶意Web站点。攻击者将通过这些伪造的站点窃取个人信息或是安装间谍软件。
毫无疑问,这些阴谋的策划者攻击的主要目标就是基于Windows的系统,还有那些在多个Symantec防火墙产品中所发现的DNS缓存漏洞。这已经不是新出现的因特网安全问题了。实际上,得到广泛使用的UNIX BIND名称服务器在多年以前就已经发现并解决了目前出现在Windows DNS上的安全问题,尤其是缓存中毒。
谁和什么样的恶意软件应该为这样的现状负责正在调查之中。但企业无法负担等待政府解决这一问题所需要的漫长时间。尽管企业似乎无法避免遭受这样的攻击,但他们可以采取措施来减轻攻击所带来的风险。
当然,企业首先要做的事情是用户培训。要让用户知道这种安全威胁的存在以及攻击者常用的方法,教育用户在放心提交个人信息之前对任何电子邮件和WEB站点进行严格的检查。
DNS对于因特网功能的实现至关重要,其重要程度甚至可能同因特网本身对IP包的路由相当。如果DNS工作不正常,那么就可能产生各种各样的问题,其中很多都会被看作是网络级的问题。
实际上,即使是简单的DNS错误,无论是在本地网络还是因特网,都将极大削弱因特网的通信能力。这就是我强调企业应当将DNS服务及其服务器作为网络一级服务的原因,即对DNS赋予同路由器及交换机相同的地位,而非将其等同于电子邮件或Web服务。
按照其基本原理,DNS服务将域名转化为IP地址,并将IP地址解析为域名。根DNS服务则可能是因特网上最忙的服务器,它提供指向特定域名的权威名称服务器的指针(被称为“NS记录”)。一条NS记录包括了针对特定域名的权威名称服务器主机名称,它还提供了这些服务器的IP地址。
DNS服务器通常将之前获取的信息缓存起来,以备将来使用,由此将对DNS服务器所发起的查询(包括对根DNS服务器发起的NS查询)减少到最低限度。由于DNS就是用来减少查询外部域名信息所花费时间,因此将这些信息进行缓存在任何时候都是非常重要的。
但是,并不是只有DNS服务器才具有这样的功能。微软和其它甚至包括因特网安全产品生产厂商的软件厂商们都范下了一个错误,即将缓存DNS信息的功能引入到工作站中去。例如,微软的Windows产品就包括了DNS缓存服务。
然而,我坚信应当只有DNS服务器能够缓存DNS信息。实际上,我建议这些软件厂商禁止工作站使用DNS缓存服务。而在微软产品中,这一服务是默认配置为允许的。
客户工作站在使用DNS的时候不应当在本地缓存DNS信息。一旦工作站将DNS数据存放到本地,那么任何能够访问或者改变缓存信息的举动都可以将所有依赖于DNS服务的通信重定向到其它的主机上去。
DNS缓存中毒(DNS cache poisoning)对使用Microsoft DNS的系统而言同样是另一个需要关注的问题。在系统运行在DNS服务器级别时,缓存中毒将引发权威DNS服务器IP地址的改变,由此子DNS将会从其他地方查找主机名称,而非从合法DNS服务器中寻找。DNS中毒将会影响到依靠微软DNS服务的整个网络,这一问题涉及除了Windows Server 2003之外的多个微软Windows版本。
此外,我建议企业最少要有两台权威DNS服务器,并且把他们放在不同的网络上,包括逻辑和物理网络。这将有助于避免因为不正确DNS信息或者DNS服务器无法正常工作时所引发的单点失败。
任何情况下,工作站都不应当使用任何方式的DNS缓存服务。DNS缓存是针对DNS服务器的,这些服务器应当专注于这一工作。企业必须采取措施以保障DNS服务器的安全,将它们放置在不同的网络上,避免黑客攻击并防止黑客用错误信息使DNS缓存中毒。